Новый червь Win32.HLLW.Deloder распространяется по локальным сетям, подбирая пароли

10 марта 2003

[10.03.2003]

В службу поддержки ЗАО "ДиалогНаука" поступили обращения в связи с распространением в интернете сетевого червя Deloader, детектируемого антивирусной программой Dr.Web® как Win32.HLLW.Deloder. Этот червь жизнеспособен только на компьютерах под управлением операционных систем Windows NT/ 2000/XP, хотя может распространяться и в Windows 98/ME.

Новый червь является многокомпонентной программой, основной двоичный компонент которого упакован упаковщиком ASPack. Червь пытается установить соединение с удаленными машинами через порт TCP/455, значительно увеличивая трафик через этот порт. Если в корпоративных сетях доступ к данному порту защищен сетевыми экранами, большинство домашних пользователей оказались беззащитными перед лицом новой угрозы.

Если разделяемый ресурс защищен паролем, червь пытается проникнуть в него на правах администратора сети, используя внушительный список паролей (более 80), хранящийся в его теле. Напомним, что небезызвестный Lovgate для своего массового распространения использовал куда более скромный список, состоявший всего из 16 паролей! В случае успешного подбора пароля червь помещает в системную директорию свою инфицированную копию под названием Dvldr32.exe.

Помимо распространения по всем доступным для совместного пользования дискам локальной сети, червь помещает в стартовые директории сетевых компьютеров свой троянский компонент, определяемый антивирусом Dr.Web® как BackDoor.Deloder.

Более подробное описание червя Win32.HLLW.Deloder будет опубликовано на нашем сайте позднее.

13
;